白白流失等��,嚴(yán)重影響企業(yè)競(jìng)爭(zhēng)力的信息安全事件。
面對(duì)內(nèi)地制造業(yè)來(lái)勢(shì)洶洶�����,新產(chǎn)品研發(fā)已成為臺(tái)灣制造業(yè)之命脈�����,除了當(dāng)局大力推動(dòng)建立中國(guó)臺(tái)灣為亞太研發(fā)中凡政策之外,臺(tái)積電���、廣達(dá)等高科技領(lǐng)導(dǎo)企業(yè)同時(shí)大幅擴(kuò)充研發(fā)部門(mén)規(guī)模�����,研發(fā)預(yù)算不斷創(chuàng)新高�。然而長(zhǎng)期以來(lái)研發(fā)作業(yè)卻是臺(tái)灣企業(yè)管理上比較脆弱的一環(huán)���,不但欠缺陷有效的安全管理機(jī)制����,意外事件更是頻傳。如在這之前才發(fā)生的某高科技公司研發(fā)泄密案�����,某電子公司研發(fā)人員被挖角����,還有前年?yáng)|科大火燒掉多家科技公司多年寶貴資料等,不但沖擊整體營(yíng)運(yùn)����,削弱企業(yè)競(jìng)爭(zhēng)力,還會(huì)賠上公司形象����,影響代工廠與國(guó)外ODM大廠的合作關(guān)系,如果連企業(yè)本身命脈的研發(fā)數(shù)據(jù)都暴露在外來(lái)威脅下���,如何能合理保障ODM大廠的技術(shù)信息能獲得妥善保護(hù)����,所以在大力強(qiáng)調(diào)提升研發(fā)能力時(shí),研發(fā)作業(yè)信息安全是臺(tái)灣企業(yè)必須面對(duì)的問(wèn)題��。
傳統(tǒng)內(nèi)部控制與風(fēng)險(xiǎn)管理及信息安全的關(guān)系
傳統(tǒng)內(nèi)部控制主要是從維護(hù)資產(chǎn)安全����,確保財(cái)務(wù)報(bào)道允當(dāng)表達(dá)及遵守相關(guān)法令規(guī)章這三個(gè)角度,對(duì)流程中各個(gè)作業(yè)設(shè)計(jì)實(shí)行控制���,而且在設(shè)計(jì)控制措施時(shí)�����,主要考慮控制措施執(zhí)行的成本��,比較少討論控制措施是否足以協(xié)助企業(yè)將風(fēng)險(xiǎn)降到可接受水平�。
風(fēng)險(xiǎn)管理則是以風(fēng)險(xiǎn)為主要控制目標(biāo)�����,強(qiáng)調(diào)現(xiàn)行內(nèi)控制度須能有效將風(fēng)險(xiǎn)降低到可接受水平以下���,否則就必須增加控制措施�����,因而對(duì)于面臨復(fù)雜經(jīng)營(yíng)環(huán)境及挑戰(zhàn)的企業(yè)而言���,風(fēng)險(xiǎn)管理比較能找出所有潛在風(fēng)險(xiǎn),并依據(jù)企業(yè)策略目標(biāo)及發(fā)展方向���,排定優(yōu)先級(jí)���,建立適當(dāng)管理機(jī)制,交重要的風(fēng)險(xiǎn)項(xiàng)目降低到可接受水平以下����,減累意外事件對(duì)企業(yè)的傷害。
信息安全則是將重點(diǎn)放在信息資產(chǎn)的保護(hù)�����,信息安全可以協(xié)助企業(yè)找出信息資產(chǎn)面臨的風(fēng)險(xiǎn)�����,排定優(yōu)先級(jí)之后���,設(shè)計(jì)適當(dāng)控制措施予以保護(hù)��。
研發(fā)風(fēng)險(xiǎn)與信息安全
前面研發(fā)作業(yè)內(nèi)部控制中已說(shuō)明“企業(yè)整體風(fēng)險(xiǎn)管理(Enterprise Wide Risk Management)”的意義與內(nèi)涵�,就風(fēng)險(xiǎn)管理而言,企業(yè)必須找出所有可能造成獲利目標(biāo)無(wú)法達(dá)成的不確定因素�,也就是風(fēng)險(xiǎn)項(xiàng)目,并予以適當(dāng)管理����,與過(guò)去相比,在全球化日益復(fù)雜的競(jìng)爭(zhēng)環(huán)境中���,中國(guó)臺(tái)灣企業(yè)面臨更多挑戰(zhàn)����,更多不確定性以及更多風(fēng)險(xiǎn)�,因而,對(duì)于以開(kāi)發(fā)新產(chǎn)品為主要獲利及發(fā)展策略的臺(tái)灣制造業(yè)而言���,控制并降低研發(fā)信息風(fēng)險(xiǎn)是策略管理的一項(xiàng)重點(diǎn)�����。
信息本身就是一種資產(chǎn)����,特別是研發(fā)數(shù)據(jù)/信息,對(duì)企業(yè)而言�,是價(jià)值非常高、非常重要的資產(chǎn)�����,例如某家以燈飾為主要產(chǎn)品的公司���,其電新的藝術(shù)燈飾設(shè)計(jì)圖,就是該公司最重要的資產(chǎn)�,一旦設(shè)計(jì)圖落到競(jìng)爭(zhēng)對(duì)手手中,很可能在此項(xiàng)新藝術(shù)燈飾上市之前�,競(jìng)爭(zhēng)對(duì)手就已模仿其設(shè)計(jì)概念,推出類似產(chǎn)品����,這將對(duì)該公司銷售收入及市占率造成嚴(yán)重打擊。
困此��,從信息安全角度來(lái)看�����,所謂風(fēng)險(xiǎn)(Risk),是指企業(yè)因?yàn)樵馐転?zāi)難��、意外事件��、惡意保護(hù)措施�,本身十分脆弱(稱之為資產(chǎn)有弱點(diǎn)),而且面臨外部威脅�,可能危害該項(xiàng)資產(chǎn),信息安全風(fēng)險(xiǎn)就是指某些特定威脅��,不論是來(lái)自公司內(nèi)部或外部���,利用信息資產(chǎn)本身的弱點(diǎn)�,對(duì)資產(chǎn)造成損害的可能性�����。
當(dāng)信息資產(chǎn)面臨風(fēng)險(xiǎn)時(shí)���,企業(yè)可能采取兩種應(yīng)對(duì)態(tài)度����,一是“甘冒風(fēng)險(xiǎn)”也就是不管它����,不對(duì)資產(chǎn)采取任何保護(hù)措施��,任由風(fēng)險(xiǎn)存在�,另一是采取適當(dāng)措施來(lái)保護(hù)資產(chǎn)����,將所承受的風(fēng)險(xiǎn)降低到管理者可接受的范圍之內(nèi)。
信息安全管理觀念
在對(duì)研發(fā)信息資產(chǎn)面臨的風(fēng)險(xiǎn)有了初步概念后���,我們進(jìn)一點(diǎn)說(shuō)明信息安全的觀念及管理架構(gòu)�,信息安全的標(biāo)的是信息資產(chǎn)���,而信息資產(chǎn)則是企業(yè)價(jià)值的代表,獲利來(lái)源�����,企業(yè)有很多的資產(chǎn)�,包含有形的廠商設(shè)備及無(wú)形的知識(shí)產(chǎn)權(quán)等,每一項(xiàng)資產(chǎn)對(duì)企業(yè)的價(jià)值及重要性皆不同�����,資產(chǎn)遭到破壞時(shí),對(duì)企業(yè)的沖擊程序也不一�����,資產(chǎn)對(duì)于企業(yè)營(yíng)去與獲利愈重要��,其價(jià)值就愈高����,
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦!快來(lái)測(cè)測(cè)你排多少名吧~
http://m.opto-elec.com.cn/pmqhd/index.html
